Los agentes de IA han dejado de ser un experimento curioso para convertirse en piezas cada vez más habituales dentro de las empresas. A diferencia de un chatbot que responde preguntas, un agente suele tener “manos” dentro de los sistemas: puede leer correos, abrir tickets, consultar bases de datos, actualizar un CRM, generar informes o coordinar tareas entre aplicaciones. Es como pasar de una calculadora a un empleado digital que no solo sugiere, sino que ejecuta.
Ese salto de “hablar” a “hacer” explica por qué tantas organizaciones los están adoptando. Según un informe de seguridad reciente de Microsoft, las compañías están desplegando agentes a un ritmo acelerado y, en paralelo, están apareciendo nuevos huecos de seguridad que no encajan del todo en los marcos clásicos. Microsoft resume la situación con una idea potente: los equipos “humano-agente” se están extendiendo globalmente, y esa convivencia trae oportunidades, pero también nuevos fallos posibles si no se controla bien.
Qué significa un “agente doble” y por qué preocupa
El concepto que más llama la atención del informe es el de los “AI double agents”, o “agentes dobles” de IA. La metáfora es clara: un agente pensado para ayudar puede terminar actuando en contra de los intereses de la empresa si se le conceden privilegios excesivos y no se le ponen salvaguardas suficientes.
Imagina que le das a un becario una llave maestra que abre todas las puertas del edificio, sin registros de entradas y salidas, sin supervisión y con instrucciones vagas del tipo “haz lo que sea para completar la tarea”. Aunque su intención sea buena, basta con que alguien le engañe, le confunda o le deje una nota manipulada para que acabe entrando donde no debe. Con un agente de IA ocurre algo parecido: si tiene demasiados accesos y recibe indicaciones maliciosas o ambiguas, puede filtrar datos sensibles, ejecutar acciones indebidas o servir de puente para ataques más sofisticados.
Microsoft enfatiza que el problema no es “la IA” como idea general, sino la combinación peligrosa de acceso amplio y controles débiles. Cuando eso se da, el agente se convierte en una superficie de ataque nueva, con un comportamiento más difícil de anticipar que el de un software tradicional.
El riesgo real: prompt engineering y trampas en la interfaz
El informe de Microsoft destaca que estos agentes con permisos amplios se vuelven vulnerables a técnicas de prompt engineering, es decir, a la manipulación de instrucciones para que el sistema haga algo no deseado. Si un actor malicioso consigue “colarse” en el contexto que el agente lee —por ejemplo, dentro de un documento, un correo, una página interna o un mensaje— puede introducir indicaciones disfrazadas de contenido normal.
Aquí entra una de las observaciones más inquietantes: investigadores han documentado cómo algunos agentes pueden ser engañados con elementos de interfaz “deceptivos”, instrucciones ocultas en contenido corriente o cambios sutiles de contexto. En la práctica, es como si en medio de un procedimiento interno apareciera una frase que el humano ignoraría (“no hagas caso”), pero el agente, obediente y literal, interpretara como una orden prioritaria.
Microsoft también menciona la posibilidad de redirigir a un agente mediante un “enmarcado” manipulado de la tarea. Dicho en lenguaje cotidiano: si consigues contarle la historia de cierta manera, el agente puede tomar un camino equivocado mientras cree que está siendo eficiente. Y cuando el agente está conectado a herramientas corporativas, ese desvío puede tener consecuencias serias.
El fenómeno del “vibe coding” y los agentes creados sin base de seguridad
Otro punto clave del informe es el uso masivo de herramientas low-code y no-code para construir agentes rápidamente. Microsoft afirma que más del 80% de las compañías del Fortune 500 ya están desplegando agentes desarrollados con este enfoque, popularizado muchas veces bajo la etiqueta de “vibe coding”: crear soluciones guiándose por resultados inmediatos, iterando a base de prueba y error, con menos atención a principios de ingeniería y seguridad.
El atractivo es evidente: si un equipo de negocio puede montar un agente sin pasar por un ciclo largo de desarrollo, la productividad despega. El problema aparece cuando esa velocidad se traduce en agentes que nacen sin controles esenciales: autenticación robusta, límites de permisos, auditoría, registro de acciones, gestión de secretos, revisión de prompts, evaluación de riesgos y pruebas de comportamiento ante entradas maliciosas.
En otras palabras, es como construir una casa muy rápido porque tienes paneles prefabricados, pero olvidar los cimientos, los detectores de humo y la instalación eléctrica certificada. Puede funcionar un tiempo, hasta que una chispa encuentra el punto débil.
Un dato incómodo: uso de agentes no autorizados en la oficina
La adopción no solo viene “de arriba”. El informe cita una encuesta internacional a más de 1.700 profesionales de seguridad de datos, encargada por Microsoft a Hypothesis Group, en la que se recoge que el 29% de los empleados usa agentes para tareas laborales sin aprobación del equipo de TI. Este tipo de “shadow AI” recuerda al fenómeno clásico del “shadow IT”, cuando departamentos o empleados adoptaban herramientas por su cuenta porque las oficiales eran lentas o insuficientes.
Desde el punto de vista de seguridad, el riesgo se multiplica: un agente no revisado puede conectarse a servicios con credenciales personales, copiar datos a plataformas externas, almacenar información sensible en lugares inadecuados o introducir puertas de entrada invisibles para los controles corporativos. Y lo más delicado es que, como el agente “ayuda”, suele generar confianza… justo la clase de confianza que un atacante intentaría explotar.
Qué propone Microsoft: Zero Trust, observabilidad y gobierno
Para reducir la probabilidad de “agentes dobles”, Microsoft insiste en reforzar tres líneas: observabilidad, gobernanza y medidas basadas en Zero Trust. El enfoque Zero Trust se apoya en una idea sencilla: no se confía por defecto en nada ni en nadie, esté dentro o fuera de la red; todo debe verificarse. Aplicado a agentes, implica limitar permisos al mínimo necesario, validar cada acción sensible, segmentar accesos y exigir controles continuos.
La observabilidad es la “caja negra” del agente: saber qué leyó, qué decidió, qué herramienta invocó, con qué credenciales, qué datos tocó y qué resultado produjo. Si un agente actúa como empleado digital, debería dejar un rastro comparable al de un empleado humano en un entorno regulado. Sin esa trazabilidad, detectar anomalías se vuelve como intentar encontrar una fuga de agua sin poder ver tuberías ni contador.
La gobernanza, por su parte, se centra en reglas: qué agentes pueden existir, quién los aprueba, qué datos pueden tocar, cómo se actualizan, cómo se revocan, qué pruebas deben pasar y qué sucede cuando el agente se comporta de forma inesperada.
Cómo pensar el problema sin dramatizarlo
El mensaje de Microsoft, tal como se recoge en la cobertura de Gadgets 360, no busca demonizar los agentes de IA, sino advertir del tipo de error que las organizaciones cometen cuando una tecnología útil se despliega con prisa. El dilema es real: los agentes aportan eficiencia y nuevas capacidades, y al mismo tiempo amplifican amenazas internas si se les da demasiado poder sin supervisión.
Una forma práctica de entenderlo es imaginar que la empresa contrata a alguien capaz de trabajar a la velocidad de la luz, acceder a múltiples departamentos y ejecutar tareas en cadena. Sería un fichaje extraordinario, pero nadie lo incorporaría sin contratos, límites, controles, formación y revisión de actuaciones. Con los agentes, la tentación es saltarse esa parte porque “solo es software”. El informe sugiere que, en la práctica, conviene tratarlos más como identidades operativas con responsabilidad, no como simples automatizaciones.